EP1492296B1

EP1492296B1 - Appareil et méthode pour réaliser une seule authentification en début de session, à travers un réseau d'accès incertain

Info

Publication number: EP1492296B1
Application number: EP03076977A
Authority: EP
Inventors: Luis Ramos Robles; Luis Barriga
Original assignee: Telefonaktiebolaget LM Ericsson AB
Current assignee: Telefonaktiebolaget LM Ericsson AB
Priority date: 2003-06-26
Filing date: 2003-06-26
Publication date: 2007-04-25
Anticipated expiration: 2023-06-26
Also published as: CA2530891A1; ES2281599T3; CN1813457B; JP4394682B2; ATE360948T1; EP1492296A1; DE60313445D1; CN1813457A; DE60313445T2; CA2530891C; US20060195893A1; JP2009514256A; WO2005002165A1

Claims

Appareil (N-41, N-42) conçu pour recevoir une demande de service à Authentification Unique dans un réseau de services de télécommunications (N-40) d'un utilisateur (N-10) via un réseau d'accès (N-20) incapable d'assurer l'authentification d'une origine de données, l'utilisateur (N-10) ayant reçu (S-23) des autorisations d'accès comme résultat de son authentification par un coeur de réseau (N-30), l'appareil comprenant :
- un moyen pour recevoir (S-24) les autorisations d'accès de l'utilisateur (N-10) par l'intermédiaire du réseau d'accès (N-20) ;

- un moyen pour vérifier (N-41 ; S-25, N-31) la validité des autorisations d'accès reçues de l'utilisateur (N-10) ;

- un moyen pour établir une session valide avec l'utilisateur (N-10) en cas de réussite de la vérification de validité des autorisations d'accès ;

- un moyen pour affecter une adresse IP interne pour identifier l'utilisateur dans le réseau de services (N-40) ; et

- un moyen pour relier entre elles (N-41, S-26, N-42) des données de session, des autorisations d'accès et une adresse IP interne affectée pour l'utilisateur (N-10) ;

- un moyen pour établir un tunnel sécurisé (S-24) avec l'utilisateur (N-10) lors de la réception des autorisations d'accès par l'intermédiaire du réseau d'accès (N-20) en utilisant une adresse IP externe affectée à l'utilisateur par le réseau d'accès pour s'adresser à l'utilisateur, et en utilisant l'adresse IP interne affectée pour identifier l'utilisateur dans le réseau de services (N-40) en tant qu'adresse IP interne dans le trafic en tunnel.
Appareil selon la revendication 1, comprenant en outre un moyen pour générer des autorisations de services (N-41, S-26, N-42) pour autoriser l'utilisateur à accéder à un service dans le réseau de services (N-40).
Appareil selon la revendication 2, dans lequel les autorisations de services sont générées (N-41, S-26, N-42) service par service pour l'utilisateur lors d'une demande de service.
Appareil selon la revendication 1, comprenant en outre un moyen pour communiquer (S-25) avec un Serveur d'Authentification (N-31) du réseau de départ (N-30) pour vérifier la validité des autorisations d'accès reçues de l'utilisateur (N-10), lorsque lesdites autorisations d'accès ne sont pas signées par une entité d'authentification reconnue (N-31).
Appareil selon la revendication 1, dans lequel les moyens d'établissement du tunnel sécurisé (S-24) avec l'utilisateur (N-10) sont inclus dans un premier dispositif nommé Point d'Entrée de Service Sécurisé (N-41), et les moyens d'établissement d'un lien entre des données de session, des autorisations d'accès et une adresse IP interne affectée pour l'utilisateur (N-10) sont inclus dans un deuxième dispositif nommé serveur à Authentification Unique (N-42).
Appareil selon la revendication 5, comprenant en outre un moyen pour faire communiquer (S-26) le Point d'Entrée de Service Sécurisé (N-41) avec le Serveur à Authentification Unique (N-42).
Appareil selon la revendication 1, comprenant en outre un moyen pour une coordination supplémentaire (S-25) entre l'appareil (N-41 ; N-42) et un Fournisseur d'Identité (N-31) en charge dudit utilisateur dans un réseau de départ (N-30) lorsque ledit réseau de départ est différent du réseau de services (N-40) pour lequel l'appareil est le point d'entrée.
Appareil selon la revendication 1, destiné à être utilisé lorsque l'utilisateur (N-10) accède à un service local HTTP (N-44) ou à un service externe (N-51) dans un réseau (N-50) différent du réseau de services auquel un accès est effectué à l'instant courant (N-40), l'appareil ayant des moyens pour vérifier (N-41, S-30, N-43, S-28, N-42) si oui ou non l'utilisateur a déjà été authentifié.
Appareil selon la revendication 8, ayant des moyens (S-30, S-28) pour communiquer avec une entité intermédiaire (N-43) conçue pour intercepter l'accès de l'utilisateur (S-29) au service local HTTP (N-44), ou au service externe (N-51) dans un réseau externe (N-50).
Appareil selon la revendication 9, dans lequel l'entité intermédiaire (N-43) est un mandataire HTTP.
Appareil selon la revendication 9, dans lequel l'entité intermédiaire (N-43) est un pare-feu.
Appareil selon la revendication 1, destiné à être utilisé lorsque l'utilisateur (N-10) accède à un service local non HTTP (N-45), ayant des moyens pour vérifier (N-41, S-31, N-45, S-32, N-42) si oui ou non l'utilisateur a déjà été authentifié.
Appareil selon la revendication 1, dans lequel le moyen de réception d'autorisations d'accès comprend un moyen pour vérifier si un certificat numérique délivré par le coeur de réseau est présent pour indiquer une authentification réussie de l'utilisateur.
Équipement utilisateur (N-10 ; N-11) conçu pour effectuer une procédure d'authentification sur un coeur de réseau (N-30), et conçu pour accéder à un réseau de services de télécommunications (N-40) via un réseau d'accès (N-20) incapable d'assurer l'authentification d'une origine de données, l'équipement utilisateur (N-10 ; N-11) comprenant :
- un moyen pour obtenir (S-23) des autorisations d'accès comme résultat de son authentification par le coeur de réseau (N-30) ;

- un moyen pour envoyer (S-24) les autorisations d'accès au réseau de services (N-40) lors d'un accès par l'intermédiaire du réseau d'accès (N-20) ;

- un moyen pour établir un tunnel sécurisé (S-24) avec le réseau de services (N-40) par l'intermédiaire du réseau d'accès (N-20), le tunnel sécurisé utilisant une adresse IP externe affectée à l'utilisateur par le réseau d'accès pour s'adresser à l'utilisateur ;

- un moyen pour recevoir (S-24) une adresse IP interne affectée par le réseau de services (N-40) et incluse comme une adresse IP interne au sein du trafic en tunnel pour identifier l'utilisateur sur le réseau de services ; et

- un moyen pour relier lesdites autorisations d'accès à l'adresse IP interne et au tunnel sécurisé.
Équipement utilisateur (N-10 ; N-11) selon la revendication 14, dans lequel le moyen d'obtention d'autorisations d'accès comporte :
- un moyen pour recevoir un défi d'authentification du coeur de réseau ;

- un moyen pour générer et renvoyer une réponse d'authentification au coeur de réseau ;

- un moyen pour générer une paire de clés publique et privée ; et

- un moyen pour soumettre la clé publique en association avec une signature numérique prouvant la propriété de la clé privée au coeur de réseau.
Équipement utilisateur (N-10 ; N-11) selon la revendication 14, dans lequel le moyen d'obtention d'autorisations d'accès comporte :
- un moyen pour recevoir un défi d'authentification du coeur de réseau ;

- un moyen pour générer et renvoyer une réponse d'authentification au coeur de réseau ; et

- un moyen pour demander un certificat numérique pouvant être obtenu du coeur de réseau.
Équipement utilisateur (N-10 ; N-11) selon la revendication 16, dans lequel le moyen d'obtention d'autorisations d'accès comporte en outre un moyen pour générer une clé publique pour laquelle le certificat numérique peut être obtenu.
Procédé de prise en charge de services à Authentification Unique dans un réseau de services de télécommunications (N-40) pour un utilisateur (N-10) accédant audit réseau de services (N-40) par l'intermédiaire d'un réseau d'accès (N-20) incapable d'assurer l'authentification d'une origine de données, l'utilisateur (N-10) ayant reçu (S-23) des autorisations d'accès comme résultat de son authentification par un coeur de réseau (N-30), le procédé comprenant les étapes consistant à :
- recevoir (S-24) sur le réseau de services (N-40) les autorisations d'accès de l'utilisateur (N-10) par l'intermédiaire du réseau d'accès (N-20) ;

- vérifier (N-41, S-25, N-31) la validité des autorisations d'accès reçues sur le réseau de services (N-40) ;

- établir (N-41, S-26, N-42) une session valide avec l'utilisateur (N-10) lors d'une vérification de validité réussie des autorisations d'accès ;

- affecter sur le réseau de services (N-41 ; S-26, N-42) une adresse IP interne pour l'utilisateur (N-10) pour identifier l'utilisateur lors de l'accès à un service sur le réseau de services ; et

- relier (N-41 ; S-26, N-42) des données de session, des autorisations d'accès et l'adresse IP interne affectée pour l'utilisateur (N-10) sur une entité (N-41 ; N-42) du réseau de services (N-40) ;

- établir un tunnel sécurisé (S-24) entre le côté formant équipement utilisateur (N-10) et une entité (N-41) du réseau de services (N-40) par l'intermédiaire du réseau d'accès (N-20) en utilisant une adresse IP externe affectée par le réseau d'accès pour s'adresser à l'utilisateur, et en utilisant en tant qu'adresse IP interne dans le trafic en tunnel l'adresse IP interne affectée pour identifier l'utilisateur sur le réseau de services (N-40) ; et

- relier lesdites autorisations d'accès à ladite adresse IP interne et audit tunnel sécurisé du côté formant équipement utilisateur (N-10).
Procédé selon la revendication 18, comprenant en outre une étape consistant à générer des autorisations de services (N-41, S-26, N-42) pour autoriser l'utilisateur à accéder à un service sur le réseau de services (N-40).
Procédé selon la revendication 19, dans lequel l'étape consistant à générer des autorisations de services comprend une étape consistant à générer, service par service, des autorisations de services pour l'utilisateur lors d'une demande de service.
Procédé selon la revendication 18, dans lequel l'étape de vérification (N-41 ; N-41, S-25, N-31) de la validité des autorisations d'accès reçues de l'utilisateur (N-10) sur le réseau de services (N-40) comprend en outre une étape consistant à communiquer (S-25) avec un Serveur d'Authentification (N-31) du réseau de départ (N-30), lorsque lesdites autorisations d'accès ne sont pas signées par une entité d'authentification reconnue.
Procédé selon la revendication 18, dans lequel l'étape consistant à relier des données de session, des autorisations d'accès et une adresse IP interne affectée pour l'utilisateur (N-10) comprend en outre une étape consistant à faire communiquer (S-26) un premier dispositif nommé Point d'Entrée de Service Sécurisé (N-41) en charge du tunnel sécurisé (S-24) avec un deuxième dispositif nommé Serveur à Authentification Unique (N-42) sur lequel s'effectue l'étape d'établissement de lien.
Procédé selon la revendication 18, destiné à être utilisé lorsque l'utilisateur (N-10) accède à un service local (N-44 ; N-45) ou à un service externe (N-51) sur un réseau (N-50) différent du réseau de services auquel un accès est effectué à l'instant courant (N-40), le procédé comprenant en outre une étape consistant à vérifier (S-28, N-42 ; S-32, N-42) si oui ou non l'utilisateur a déjà été authentifié.